ISO/IEC 27036 Seguridad de la Información en la Nube
ISO/IEC 27036
La nube en el contexto de la tecnología de la información es claramente representativa de las tendencias en los modelos de negocio y en el almacenamiento de datos, información y documentos y las consideraciones de gestión.
El almacenamiento de recursos de archivos digitales es inherente a su conservación y disponibilidad; es decir, su accesibilidad y usabilidad cuando se requieren. El uso de servicios en entornos de Cloud Computing (CC) comenzó a ser a corto plazo con respecto a los intereses de la gestión y la conservación de datos, aunque, dadas las ventajas que presenta y el aumento constante de los recursos digitales, su reclutamiento es atractivo tanto para los productores como para los gestores de estos recursos.
El administrador de documentos debe comprender tanto el alcance en el entorno tecnológico de Cloud Computing, como las ventajas de contratar estos servicios, ya que debe aprender a implementar un conjunto de estrategias, para asesorar sobre la gestión y el almacenamiento de datos. La preocupación del profesional se demuestra en algunos estudios a la hora de identificar amenazas y se revelan oportunidades de acción a través de acciones de asesoramiento y control.
En el CC, las opciones de servicio, los modelos disponibles, las fases, los tipos, las categorías y las características son varias para el administrador de la información y la documentación en el archivo, lo que dificulta la evaluación del riesgo y las acciones derivadas de su mitigación.
Alcance de ISO/IEC 27036
Al ser un estándar de seguridad de la información, los productos más obviamente cubiertos por los estándares incluyen:
- Tercerización de TI y servicios de computación en la nube;
- Otros servicios profesionales, p. guardias de seguridad, limpiadores, servicios de entrega (mensajeros), mantenimiento / servicio de equipos, servicios de consultoría y asesoramiento especializado, gestión del conocimiento, investigación y desarrollo, fabricación, logística, custodia del código fuente y atención médica;
- Suministro de hardware, software y servicios de TIC, incluidos servicios de telecomunicaciones e Internet;
- Productos y servicios a medida donde el comprador especifica los requisitos y, a menudo, tiene un papel activo en el diseño del producto (a diferencia de los productos básicos y los productos estándar estándar);
- Servicios públicos como energía eléctrica y agua.
Los estándares pueden cubrir:
Metas estratégicas, objetivos, necesidades comerciales y obligaciones de cumplimiento en relación con la seguridad y la garantía de la información al adquirir productos relacionados con las TIC o de información;
Riesgos de información como:
- Dependencia del comprador en los proveedores, lo que complica los acuerdos de continuidad comercial del comprador (tanto la capacidad de recuperación como la recuperación).
- Acceso físico y lógico y protección de activos de información de terceros.
- Crear un entorno de «confianza extendida» con responsabilidades compartidas para la seguridad de la información.
- Crear una responsabilidad compartida para el cumplimiento de las políticas, estándares, leyes, regulaciones, contratos y otros compromisos / obligaciones de seguridad de la información.
- Coordinación entre el proveedor y el comprador para adaptar o responder a los requisitos de seguridad de la información nuevos / modificados.
Controles de seguridad de la información como:
- Gestión de relaciones que cubre todo el ciclo de vida de la relación comercial.
- Análisis preliminar, preparación de un caso comercial sólido, invitación a licitación, etc., teniendo en cuenta los riesgos, controles, costos y beneficios asociados con el mantenimiento de la seguridad de la información adecuada.
- Creación de objetivos estratégicos explícitos para alinear al comprador y al proveedor en la seguridad de la información y otros aspectos.
- Especificación de requisitos importantes de seguridad de la información (como exigir que los proveedores estén certificados de conformidad con ISO / IEC 27001 y / o usar estándares como ISO27k) en contratos, acuerdos de nivel de servicio, etc .
Tres puntos principales de ISO/IEC 27036
Todas las partes de esta norma, brindan información general de antecedentes e introduce los términos y conceptos clave en relación con la seguridad de la información en las relaciones con los proveedores, incluida «cualquier relación con el proveedor que pueda tener implicaciones para la seguridad de la información, p. Ej. tecnología de la información, servicios de atención médica, servicios de limpieza, servicios de consultoría, asociaciones de I + D, aplicaciones subcontratadas (ASP) o servicios de computación en la nube (como software, plataforma o infraestructura como servicio) «.
Describe una serie de riesgos de información que comúnmente surgen o se relacionan con las relaciones comerciales entre adquirentes y proveedores, donde los bienes/servicios adquiridos tienen un contenido de información o relevancia de seguridad de la información, o donde el proveedor obtiene acceso a la información interna del adquiriente.
La segunda parte especifica los requisitos fundamentales de seguridad de la información relacionados con las relaciones comerciales entre proveedores y compradores de diversos productos (bienes y servicios). Les ayuda a alcanzar una comprensión común de los riesgos de información asociados y a tratarlos en consecuencia para su satisfacción mutua.
Las medidas de control recomendadas en esta segunda parte cubren varios aspectos de la dirección y la gestión empresarial (por ejemplo, operaciones, gestión de recursos humanos, gestión de TI, gestión de relaciones, métricas), así como la gestión de la seguridad de la información (por ejemplo, análisis y tratamiento de riesgos de información, especificación de controles, arquitectura / diseño, estrategia).
Esta parte de la norma guía tanto a los proveedores como a los compradores de bienes y servicios de TIC sobre la gestión del riesgo de la información relacionada con la cadena de suministro compleja y ampliamente dispersa, incluidos los riesgos como el malware y los productos falsificados y la integración de gestión de riesgos con procesos de ciclo de vida del sistema y software, basándose en ISO/IEC 15288, 12207 y 27002.
Esta parte de ISO / IEC 27036 no cubre los aspectos de continuidad del negocio. Se refiere específicamente a productos TIC. Hay una amplia gama de controles de seguridad de la información en la parte 3, tales como: cadena de custodia; acceso de privilegio mínimo; separación de tareas; resistencia a la manipulación y evidencia; protección persistente; gestión de cumplimiento; evaluación y verificación del código; entrenamiento de seguridad; evaluación y respuesta de vulnerabilidad; expectativas de seguridad definidas; derechos y responsabilidades de propiedad intelectual; evitando el mercado gris; procesos de adquisición que incluyen adquisición anónima y todo a la vez; pasar requisitos de seguridad a proveedores de aguas arriba; gestión de la calidad.
Software para la gestión de ISO 27036
Con la Plataforma Tecnológica ISOTools y sus consultores expertos se puede realizar una implantación del certificado ISO/IEC 27036 con una garantía de calidad. Esta es una herramienta sencilla de mantener y automatizar ya que se encuentra totalmente actualizada a la nueva versión de la norma.
ISOTools facilita la identificación de los aspectos de negocio que tienen un impacto en el mercado, la generación de objetivos de mejora y un programa de gestión para alcanzarlos, así como su comunicación interna.
Este software permite la integración de otras normas ISO, tales como ISO 9001, ISO 27036 e ISO 45001, entre otras, de forma sencilla gracias a su estructura modular.